Показано с 1 по 12 из 12.

Сегодня закачал где-то трояна. Мой NOD32 его тут же засек, но вылечить не смог (заявка № 9672)

  1. #1
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    37

    Exclamation Сегодня закачал где-то трояна. Мой NOD32 его тут же засек, но вылечить не смог

    Система стала работать неадекватно, браузеры не открывались из-за ненайденных dll-ов. При попытке перезагрузки Windows перестал нормально загружаться: ни в обычном режиме, ни в последней удачной конфигурации. Удалось победить его терпением, и через Safe Mode (загружался минут 15) получить доступ к восстановлению системы. Оно помогло привести систему в чувство, но вирус остался.
    С помощью AVZ я его и нашел и вроде бы вычистил. Прилагаю логи. Обратите внимание на подозрительные файлы. Заранее спасибо за рекомендации, что с этим делать
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Обратите внимание на подозрительные файлы.
    Обратите внимание, что Ваша версия AVZ устарела Скачайте новую версию и сделайте логи ещё раз. Текущая версия 4.25

  4. #3
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    37
    Пересканировал AVZ 4.25, а заодно и HighjackThis.
    Вложения Вложения

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\DOWNLO~1\webeye.ocx','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\zinst.dll','');
     QuarantineFile('C:\WINDOWS\System32\twext.dll','');
     QuarantineFile('osk.exe','');
     QuarantineFile('cscdll.dll','');
     QuarantineFile('c:\WINDOWS\iedll.exe','');
     QuarantineFile('Narrator.exe','');
     QuarantineFile('Magnify.exe','');
     QuarantineFile('C:\DOCUME~1\ИЛЬЯ\LOCALS~1\Temp\Rar$EX01.282\Talking Clock 152\tkclk151.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\btserial.sys','');
     QuarantineFile('c:\windows\system32\rpcss.dll','');
     QuarantineFile('C:\WINDOWS\system32\kernel32.dll','');
     QuarantineFile('C:\WINDOWS\system32\hpzlnt12.dll','');
     QuarantineFile('c:\windows\system32\es.dll','');
     QuarantineFile('C:\WINDOWS\system32\comsvcs.dll','');
     QuarantineFile('C:\WINDOWS\system32\colbact.DLL','');
     QuarantineFile('C:\WINDOWS\System32\CLBCATQ.DLL','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     BC_ImportQuarantineList;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
    Прикрепите файл boot_clr.log из папки AVZ к своему следующему сообщению. Настройки прокси-сервера сами прописывали?
    Последний раз редактировалось Макcим; 12.05.2007 в 23:18.

  6. #5
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    37
    Скрипт выполнил и карантин прислал по правилам. Вот подтверждение:
    Результат загрузки

    Файл сохранён как/td> 070512_235108_virus_46461aac1ca32.zip
    Размер файла 2438178
    MD5 42b94e7e188844d2d2cebf22ce8016ab

    Не помню, чтобы сам прописывал настройки прокси-сервера, т.к. уже год подключаюсь по ADSL, где прокси не требуется.

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Значит все это время весь Ваш трафик шёл через чей-то прокси. "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.5.0.2:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

  8. #7
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    37
    Пофиксил, перезагрузился. Сейчас вроде в свойствах подключения IE прокси-сервер не прописан. Не нужно ли просканировать все еще раз?

  9. #8
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    37
    Цитата Сообщение от tejem Посмотреть сообщение
    Пофиксил, перезагрузился. Сейчас вроде в свойствах подключения IE прокси-сервер не прописан. Не нужно ли просканировать все еще раз?
    Извиняюсь, не заметил сразу, что Вы просили прислать Boot_clr.log из AVZ. Я бы рад, но там протокол сохраняется под именем либо avz-log.txt, либо virusinfo_syscheck.htm/zip

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Здравствуйте,

    avz00001.dta - Trojan-Spy.Win32.Goldun.ms

    Детектирование файла будет добавлено в следующее обновление.

    avz00002.dta, avz00003.dta, avz00004.dta, avz00005.dta, avz00006.dta, avz00007.dta, avz00008.dta, avz00009.dta, avz00010.dta, avz00011.dta, avz00012.dta, avz00013.dta, avz00014.dta, avz00015.dta, avz00016.dta, avz00017.dta, avz00018.dta

    Вредоносный код в файлах не обнаружен.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Детектируемый файл в папке System Volume Information
    Если не отключали восстановление системы, отключите сейчас.

  12. #11
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    37
    Цитата Сообщение от anton_dr Посмотреть сообщение
    Детектируемый файл в папке System Volume Information
    Если не отключали восстановление системы, отключите сейчас.
    Отключил восстановление и вычистил этого трояна. Большое спасибо, MaXim и anton_dr, за немедленную реакцию и помощь.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\system volume information\\_restore{574ce958-9e6d-43f1-a728-46173bd4fad1}\\rp190\\a0072873.exe - Trojan.Win32.Patched.w


  • Уважаемый(ая) tejem, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 30.03.2009, 14:01
    2. nod32 нашел podnuha. Убить не смог ни он ни DrWeb
      От mega в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 09:37
    3. Троянчик засел сегодня, помогите изжить гада!
      От Тошкин в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 02:09
    4. SpyBot S&D не смог удалить трояна
      От kerom в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.10.2008, 18:08
    5. Не смог вылечить до конца
      От monia в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.11.2007, 15:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01598 seconds with 22 queries